En un comunicado oficial, Reddit informó a los usuarios que en el mes de junio un atacante vulneró las cuentas de algunos empleados luego de evadir el doble factor de autenticación, lo que permitió que fueran expuestos datos de algunos usuarios; como son cuentas de correo y una antigua base de datos de 2007 con contraseñas hasheadas y mensajes privados.
El incidente tuvo lugar entre el 14 y el 18 de junio y explicaron que al día siguiente descubrieron la fuga, más específicamente el 19 de junio, aunque aseguran que el atacante (o los atacantes) en ningún momento tuvieron acceso a sus servidores. “No pudieron modificar información de Reddit y hemos tomado acciones desde que tomamos conocimiento para bloquear y rotar todos los secretos de producción y las claves API, y para mejorar nuestro sistema de accesos y de monitoreo”, asegura la compañía a través de su comunicado.
Evadieron el doble factor de autenticación asociado al SMS
Según explicaron, el atacante logró interceptar mensajes SMS que estaban destinados a algunos de sus empleados y donde estaba el código de doble factor de autenticación que permitía el acceso a la cuenta de los empleados. Aunque tal como publica Bleeping Computer, si bien en el comunicado Reddit no lo menciona, queda claro que el atacante tenía acceso a las contraseñas de algunos empleados.
Esta fuga de datos deja abierta una interrogante: ¿qué tan seguro es el doble factor de autenticación asociado al SMS? Desde Reddit explican que como medida los empleados migraron a un doble factor de autenticación vinculado a una aplicación de token.
Finalmente, Reddit se está enviando mensajes a los usuarios afectados y están reseteando contraseñas de cuentas en las que las credenciales podrían seguir siendo válidas. Por otro lado, comunica a los usuarios que estén atentos a sus mensajes privados en la plataforma o a su bandeja de entrada de correo, ya que en caso de haber sido afectado se estarán informando a la brevedad.